专利名称:一种电子文件的自动保护方法及系统的制作方法
技术领域:
本发明涉及电子信息安全保护领域,特别涉及一种电子文件的自动保护方法及系统。
背景技术:
随着计算机技术和信息技术的快速发展,计算机已成为人们日常生活、办公和学习必不可少的工具,越来越多的数据信息通过电子文件的形式保存在计算机上,例如以各种电子文档的形式;这种形式给人们带来便利的同时,也出现了安全性的问题——很多文档信息具有机密性,不能被随意阅读和篡改,因此需要保证敏感信息的安全性。目前人们主要利用加密和认证技术来控制非法操作者对敏感信息的访问,例如利用各种密钥机制对文件加密,或利用数字证书来验证操作者的身份,从而防止非法操作者访问文件。
现有技术中通常采用智能密钥装置以及过滤驱动技术对信息进行安全保护。智能密钥装置采用强双因子认证模式,内置单片机或智能卡芯片,可以存储操作者密钥和数字证书,利用智能密钥装置内置的密码算法实现对操作者身份认证和敏感信息的加解密。过滤驱动程序是一种可选择的特殊驱动程序,可以加载在其他驱动程序之上,用于修改或者增加原有驱动程序可以实现的功能,而不必修改原有驱动程序,也不必修改使用该原有驱动程序的应用程序;结合过滤驱动程序的这一特点,人们将过滤驱动程序加载在Windows操作系统文件处理模块的文件系统和操作系统驱动层的文件系统驱动之间,实现对文件读写进行监控;过滤驱动技术这种内核级的保护模式进一步提高了信息的安全性。
上述方法虽然提高了敏感信息的安全性,但是随着保护手段的不断改进,恶意分子的攻击手段也在不断更新,很多保护措施都不能满足对安全性日益增长的要求,因此,需要进一步改进对信息的保护手段以适应当今的需求。
发明内容
本发明所要解决的技术问题是提供一种安全性更高、保护手段更强的电子文件自动保护方法及系统。
为解决上述技术问题,本发明采取的技术方案是提供一种文件的自动保护方法,该方法包括下列步骤A1.文件系统过滤驱动模块接收文件操作请求;A2.当请求操作的文件为受保护文件时,所述文件系统过滤驱动模块检测计算机是否已连接智能密钥装置;A3.当已连接智能密钥装置时,验证用户身份;A4.用户身份验证通过后,根据所述文件操作请求对该请求进行过滤处理;A5.过滤完成后,所述文件系统过滤驱动模块返回过滤结果信息。
优选的,步骤A1还可以包括对操作请求的判断步骤,即所述文件系统过滤驱动模块判断所述操作请求是否是对受保护文件的操作,如果是,则执行步骤A2,如果否,则直接发送至下层文件系统驱动模块。
优选的,步骤A3中验证用户身份步骤如果用户身份已经过验证,并验证通过,则执行步骤A4;否则,所述文件系统过滤驱动模块通知应用监控模块,提示用户进行身份认证,如果身份认证成功,则执行步骤A4,否则,所述文件系统过滤驱动模块结束所述操作请求;其中,通过所述智能密钥装置对用户进行身份认证。
优选的,步骤A4中所述的过滤处理可以是针对写文件操作请求或读文件操作请求,通过所述智能密钥装置对数据进行加密或解密处理;其过程表现为所述文件系统过滤驱动模块根据所述智能密钥物理装置驱动设备对象将数据内容发送至智能密钥装置驱动模块,进而实现所述智能密钥装置对数据的加密或解密处理。
优选的,上述针对写文件操作请求或读文件操作请求的过滤处理,还可以通过所述文件系统过滤驱动模块对数据进行加密或解密处理。
优选的,所述过滤处理还可以是创建、删除、重命名或取文件信息操作请求,根据具体文件的保护策略返回错误信息或将该请求发送至文件系统驱动模块。
优选的,所述过滤处理是针对指定特定应用程序访问的文件进行的处理。
优选的,步骤A5中所述返回过滤结果信息可以为将所述过滤结果信息发送到下层文件系统驱动模块或返回文件系统或上层应用模块。
本发明还提供了一种文件的自动保护系统,用于实现上述文件自动保护方法,包括文件系统模块和文件系统驱动模块,还包括文件系统过滤驱动模块,用于接收所述文件操作请求,触发检测事件,以及对所述文件操作请求进行过滤处理,并发送过滤结果信息;应用监控模块,监控所述文件系统过滤驱动模块,等待所述文件系统过滤驱动模块发送的事件并进行相应处理;智能密钥装置,用于验证用户身份,以及与智能密钥装置驱动模块相关联;智能密钥装置驱动模块,用于实现所述智能密钥装置同所述文件系统过滤驱动模块之间的关联;优选的,所述智能密钥装置对数据进行加密或解密处理。
优选的,所述文件系统过滤驱动模块对数据进行加密或解密处理。
优选的,所述智能密钥装置驱动模块还可以建立所述智能密钥装置同所述应用监控模块之间的关联。
同现有技术相比,本发明的技术方案具有以下优点1.建立智能密钥装置同文件系统过滤驱动模块的关联,通过获取智能密钥装置对应的设备驱动设备对象,进而实现智能密钥装置的加解密技术同文件系统过滤驱动技术的结合。
2.通过将智能密钥装置同文件系统过滤驱动技术结合对文件进行保护,操作者如果想对受保护的文件进行操作必须首先通过智能密钥装置的身份认证,再经过过滤驱动模块的过滤,这种方法进一步提高了文件的安全性,保护手段也进一步增强。
图1是本发明所述电子文件自动保护系统的结构图;图2是本发明所述电子文件自动保护方法的总体流程图;图3是本发明所述电子文件自动保护方法的具体流程图。
具体实施例方式
本发明的核心思想是文件系统过滤驱动模块接收文件操作请求,通过智能密钥装置对操作用户进行身份认证,认证通过后再对操作请求进行过滤处理,最后返回过滤结果信息,即将智能密钥装置和文件系统过滤驱动模块相关联,共同实现对文件的保护。
参照图1,是本发明所述电子文件自动保护系统的结构图;如图所示,在Windows及其他操作系统文件处理模块的文件系统模块11和操作系统驱动层的文件系统驱动模块13之间,包括一个用于实现文件监控和读写保护的文件系统过滤驱动模块12。文件系统过滤驱动模块12通过获取与智能密钥装置16对应的设备驱动设备对象与智能密钥装置16相关联。文件系统过滤驱动模块12还与应用监控模块14相关联,实现与操作者的交互,操作者可以通过应用监控模块14配置文件的保护策略;监控文件系统过滤驱动模块12,等待驱动发来的事件并进行相应的处理。智能密钥装置驱动模块15用以实现智能密钥装置16同文件系统过滤驱动模块12及应用监控模块14之间的关联。
参照图2,是本发明所述电子文件自动保护方法的总体流程图;步骤201,文件系统过滤驱动模块接收文件操作请求;文件系统过滤驱动模块12接收来自计算机操作系统中文件系统模块11的文件操作请求,即截获相应的请求包。
步骤202,判断操作请求是否是对受保护文件的操作;文件系统过滤驱动模块12从请求包中的内容获得操作请求文件的文件名,根据配置文件保护策略判断是否是受保护的文件,如果否,则将该操作请求直接发送至下层的文件系统驱动模块13,进行相应的常规操作;如果是,则读取请求包中的数据内容,并执行下列步骤。
步骤203,检测计算机是否已连接智能密钥装置;文件系统过滤驱动模块12获取智能密钥装置16对应的设备驱动设备对象,如果取设备对象不成功,则说明智能密钥装置16不存在,则不能对受保护文件进行相应操作,并提示错误;如果取设备对象成功,则说明智能密钥装置16已经存在系统中,接下来验证智能密钥装置16持有者的身份,如果已经验证过智能密钥装置16持有者的身份并且验证通过,则不需要再进行验证,否则文件系统过滤驱动模块12发事件通知应用监控模块14弹出界面要求输入智能密钥装置16的pin码或指纹、虹膜等生物特征信息,应用监控模块14通过智能密钥装置驱动模块15调用智能密钥装置16验证用户身份,智能密钥装置16将身份认证结果返回应用监控模块14,应用监控模块14再将结果发送至文件系统过滤驱动模块12,如果身份认证不成功,应用监控模块14提示身份认证不通过,文件系统过滤驱动模块12直接返回上述操作请求;如果身份认证成功,执行下列步骤。
步骤204,用户身份认证通过后,对上述文件操作请求进行过滤处理;优选的,所述过滤处理可以是通过智能密钥装置16完成对数据内容的加密、解密;文件系统过滤驱动模块12根据智能密钥物理装置设备驱动设备对象把数据内容转发到智能密钥装置驱动模块15,从而使用智能密钥装置16完成对数据的加密或者解密,当加密或者解密后的数据内容返回到文件系统过滤驱动模块12后,用该数据内容替换原来请求包中的数据内容。下面结合附图3对上述过程进行详细描述。
参照图3,是本发明所述电子文件自动保护方法的具体流程图;步骤308,文件系统过滤驱动模块12根据操作请求的具体内容判断是哪种请求如果是IRP_MJ_WRITE写请求,则步骤313使用智能密钥装置16对数据进行加密处理,加密处理的方法就是由文件系统过滤驱动模块12获取智能密钥装置16的设备驱动设备对象,通过该设备对象把请求包中的明文数据发往智能密钥装置驱动模块15,从而使明文数据经智能密钥装置16加密处理后转换成密文,智能密钥装置驱动模块15将密文返回到文件系统过滤驱动模块12,文件系统过滤驱动模块12用密文数据替换原来请包中的明文数据内容。
如果是IRP_MJ_READ读请求,则步骤309将请求提交给下层驱动模块,步骤310中下层驱动模块将要读取的数据返回给文件系统过滤驱动模块12,步骤311利用智能密钥装置16中的密钥解密数据,解密方法与加密方法类似,就是把密文数据发往智能密钥装置驱动模块15,经智能密钥装置16解密成明文,智能密钥装置驱动模块15将该明文返回到文件系统过滤驱动模块12,文件系统过滤驱动模块12用明文数据替换原来请包中的密文数据内容。
如果是某些特定的请求包(根据操作者特定要求),例如创建、删除、重命名或取文件信息等特殊操作,则步骤314根据具体文件的保护策略返回错误或由步骤316将请求向下发送给下层驱动模块。如果上述特殊操作的文件为指定特定应用程序文件,当发现IRP是IRP_MJ_CREATE类型,此时取访问此文件的应用程序名称,根据此名称判断,如果应用程序不是指定应用程序,则文件系统过滤驱动模块12直接返回错误状态。
如果是其他操作,则步骤315不对请求作任何处理,进行步骤316将请求向下发送给下层驱动模块。
优选的,所述过滤处理还可以是通过文件系统过滤驱动模块12完成对数据内容的加密、解密;与智能密钥装置16完成加解密操作的不同之处在于,对数据内容的加解密直接通过公知的过滤驱动技术完成,而智能密钥装置16在此优选方式中只起到验证用户身份的作用。
步骤205,过滤完成后文件系统过滤驱动模块返回过滤结果信息。
通过步骤204中两种优选方式的其中一个完成过滤处理后,根据请求包原来的传递方向把数据传送到文件系统过滤驱动模块12的上层文件系统、上层应用模块或者下层文件系统驱动模块,即返回过滤结果信息,从而实现本发明双重保护文件的目的。
以上应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种文件的自动保护方法,其特征在于,包括以下步骤101.文件系统过滤驱动模块接收文件操作请求;102.当请求操作的文件为受保护文件时,所述文件系统过滤驱动模块检测计算机是否已连接智能密钥装置;103.当已连接智能密钥装置时,验证用户身份;104.用户身份验证通过后,根据所述文件操作请求对该请求进行过滤处理;105.过滤完成后,所述文件系统过滤驱动模块返回过滤结果信息。
2.如权利要求1所述的方法,其特征在于,步骤101进一步包括所述文件系统过滤驱动模块判断所述操作请求是否是对受保护文件的操作,如果是,则执行步骤102,如果否,则直接发送至下层文件系统驱动。
3.如权利要求1所述的方法,其特征在于,步骤103进一步包括如果用户身份已经过验证,并验证通过,则执行步骤104;否则,所述文件系统过滤驱动模块通知应用监控模块,提示用户进行身份认证,如果身份认证成功,则执行步骤104,否则,所述文件系统过滤驱动模块结束所述操作请求。
4.如权利要求3所述的方法,其特征在于,通过所述智能密钥装置对用户身份进行验证。
5.如权利要求1至4中任意一项所述的方法,其特征在于,所述过滤处理是针对写文件操作请求,通过所述智能密钥装置对数据进行加密处理。
6.如权利要求1至4中任意一项所述的方法,其特征在于,所述过滤处理是针对读文件操作请求,通过所述智能密钥装置对数据进行解密处理。
7.如权利要求5或6所述的方法,其特征在于,所述文件系统过滤驱动模块根据所述智能密钥物理装置驱动设备对象将数据内容发送至智能密钥装置驱动模块,进而实现所述智能密钥装置对数据的加密或解密处理。
8.如权利要求1至4中任意一项所述的方法,其特征在于,所述过滤处理是针对写文件操作请求,通过所述文件系统过滤驱动模块对数据进行加密处理。
9.如权利要求1至4中任意一项所述的方法,其特征在于,所述过滤处理是针对读文件操作请求,通过所述文件系统过滤驱动模块对数据进行解密处理。
10.如权利要求1至4中任意一项所述的方法,其特征在于,所述过滤处理是创建、删除、重命名或取文件信息操作请求,根据具体文件的保护策略返回错误信息或将该请求发送至文件系统驱动模块。
11.如权利要求1至4中任意一项所述的方法,其特征在于,所述过滤处理是针对指定特定应用程序访问的文件进行的处理。
12.如权利要求1所述的方法,其特征在于,步骤105中所述返回过滤结果信息为将所述过滤结果信息发送到下层文件系统驱动模块或返回文件系统或上层应用模块。
13.一种文件的自动保护系统,用于实现权利要求1所述的文件自动保护方法,包括文件系统模块和文件系统驱动模块,其特征在于,还包括文件系统过滤驱动模块,用于接收所述文件操作请求,触发检测事件,以及对所述文件操作请求进行过滤处理,并发送过滤结果信息;应用监控模块,用于监控所述文件系统过滤驱动模块,等待所述文件系统过滤驱动模块发送的事件并进行相应处理;智能密钥装置,用于验证用户身份,以及与智能密钥装置驱动模块相关联;智能密钥装置驱动模块,用于实现所述智能密钥装置同所述文件系统过滤驱动模块之间的关联。
14.如权利要求13所述的系统,其特征在于,所述智能密钥装置对数据进行加密或解密处理。
15.如权利要求13所述的系统,其特征在于,所述文件系统过滤驱动模块对数据进行加密或解密处理。
16.如权利要求13所述的系统,其特征在于,所述智能密钥装置驱动模块建立所述智能密钥装置同所述应用监控模块之间的关联。
全文摘要
本发明公开了一种安全性更高、保护手段更强的电子文件自动保护方法及系统,该方法通过文件系统过滤驱动模块接收文件系统模块下发的文件操作请求,当请求操作的文件为受保护文件时,通过智能密钥装置对用户进行身份认证,认证通过后,根据文件操作请求对该请求进行过滤处理,并将过滤结果信息返回;该方法将智能密钥装置同文件系统过滤驱动技术相结合对文件进行保护,进一步提高文件的安全性。
文档编号G06F21/00GK1877594SQ200610090129
公开日2006年12月13日 申请日期2006年6月23日 优先权日2006年6月23日
发明者陆舟, 于华章 申请人:北京飞天诚信科技有限公司